Si abro elregistro con la cuenta del SISTEMAen Windows usando elHerramienta PSExec de SysInternals:
psexec -i -s regedit
y cambio una entrada, por ejemplo, aquí:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... Supongo que NTUSER.DAT
se modificará el archivo correspondiente.
cual es el caminoa este NTUSER.DAT
archivo?
Respuesta1
Contrariamente a la intuición común, el ntuser.dat
archivo en la carpeta de perfil de usuario de LocalSystem ( \Windows\System32\config\systemprofile
) esnola fuente de HKEY_CURRENT_USER
aplicaciones que se ejecutan como SISTEMA. Hasta donde yo sé, en realidad no se usa para nada y contiene muy poca información.
En realidad, la HKCU para aplicaciones que se ejecutan como SISTEMA se encuentra .DEFAULT
en HKEY_USERS
. (Abordaré otro error común:.DEFAULT
no es la plantilla para nuevos perfiles de usuario, ntuser.dat
en \Users\Default
is.) .DEFAULT
se almacena en el disco en un archivo llamado \Windows\System32\config\DEFAULT
. Verel artículo de MSDN sobre archivos de respaldo del Registro.
También es interesante: la lista de archivos de respaldo para las distintas jerarquías de Registro, incluido .DEFAULT
, se puede encontrar en HKLM\SYSTEM\CurrentControlSet\Control\hivelist
.